Il nuovo GDPR

Il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679, noto a tutti come GDPR (General Data Protection Regulation): è il regolamento determinato dall’UE con l’obiettivo di garantire ai consumatori il controllo dei propri dati online e di fare sì che le aziende mantengano tali dati al sicuro.

 

Quali sono le novità?

Uno degli aspetti più importanti del GDPR è una revisione radicale di ciò che costituisce i dati personali e di come ottenere il consenso per il suo uso: secondo il GDPR, le organizzazioni devono ottenere un consenso verificabile che sia esplicito, informato e dato liberamente.

In estrema sintesi, col GDPR:

  • Si introducono regole più chiare su informativa e consenso;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Poste le basi per l’esercizio di nuovi diritti;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • Fissate norme rigorose per i casi di violazione dei dati (data breach).

 

Quali sono le nuove figure?

Il nuovo regolamento prevede le seguenti figure:

  • Interessato: la persona fisica a cui si riferiscono i dati personali
  • Titolare del trattamento: è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (sarebbe il rappresentante legale)
  • Responsabile del trattamento: è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato. (assimilabile con un RSPP).
  • RPD, responsabile protezione dati (o DPO, data protection officer): figura esterna, formata (corso di 80 h) ed esperta. È necessario nominarlo:
    • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
    • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala (Esempi di trattamento su larga scala possono essere: trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività; trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio); trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food; trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività; trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale; trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici)
    • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati).

 

Cosa fare?

In definitiva, un’Organizzazione deve seguire i seguenti punti per ottemperare a tutte le indicazioni:

  1. Scrivere un’informativa sulla protezione dei dati e metterla a disposizione delle parti interessate (clienti, partners e dipendenti)
  2. Strutturare la protezione dei dati (stabilendo modalità, garanzie e limiti del trattamento dei dati personali)
  3. Redigere un’analisi dei rischi relativa al trattamento dei dati
  4. Formare i dipendenti sul tema di protezione dei dati
  5. Definire un processo di consenso esplicito e specifico di clienti e dipendenti durante la raccolta dei dati personali
  6. Dare alle parti interessate l’accesso a tutti i loro dati personali, garantendo loro la possibilità di aggiornarli o cancellarli e di poterli ricevere in un formato facilmente leggibile
  7. Impostare una procedura per la conservazione dei dati personali e l’accesso sicuro agli archivi
  8. Impostare un processo di gestione di un eventuale incidente di sicurezza e della sua notifica
  9. Adottare specifiche misure per quanto riguarda i fornitori
  10. Impostare una procedura per il trasferimento di dati al di fuori dell’Unione Europea

Inoltre, se necessario, bisognerà:

  1. redigere un registro dei trattamenti
  2. nominare un Responsabile della Protezione dei Dati (RPD)

 

Prassi UNI/PdR 43:2018

Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) – Gestione e monitoraggio dei dati personali in ambito ICT

La gestione e il monitoraggio dei processi e delle attività definite nel Regolamento Europeo 2016/679 (GDPR), in riferimento al trattamento dei dati personali, sono problematiche trasversali a quasi tutti i settori. In ragione di questo UNI, l’ente italiano di normazione, ha recentemente pubblicato delle linee guida, a supporto delle organizzazioni per garantire la sicurezza di questo tipo di dati: la Prassi UNI/PdR 43:2018, ossia “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) – Gestione e monitoraggio dei dati personali in ambito ICT”.

Lo standard definisce i principali processi da considerare, per permettere alle aziende la loro corretta implementazione, il conseguente controllo e l’eventuale certificazione del servizio a tutela del mercato. Inoltre, fornisce un insieme di requisiti che permette di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, e gli indirizzi per la valutazione di conformità ai requisiti definiti. L’obiettivo della Prassi, che è dedicata al trattamento automatizzato di dati personali, è quello di definire in modo obiettivo e ripetibile le azioni per il corretto trattamento dei dati personali, offrendo a titolari e responsabili una linea guida di riferimento e alle autorità di controllo un metro di giudizio, ponendo le basi per meccanismi di certificazione come auspicati dagli art. 42 e 43 del Regolamento Europeo n.679/2016.

La Prassi UNI/PdR 43:2018 può essere utilizzata da qualunque tipo di organizzazione che tratta dati personali mediante strumenti elettronici (ICT), aziende di qualsiasi dimensione e settore lavorativo, indipendentemente dalla loro forma giuridica.

Nel panorama nazionale italiano questa prassi risulta attualmente l’unico modello di riferimento che le aziende possono utilizzare per dimostrare il rispetto degli obblighi sia del titolare del trattamento sia del responsabile del trattamento (artt. 24 c. 3 e 28 c. 5 GDPR), ed in particolare degli obblighi di adozione di misure di sicurezza adeguate (art. 32 c. 3).

SCRIVIMI PER QUALSIASI ALTRA INFORMAZIONE:

  • Cellulare: 0039 3286712989
  • E-mail: info@fortunatomafrici.it